KSC ma szansę być najbardziej przeregulowaną ustawą w Unii Europejskiej?

Kolejna wersja projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, ukazała się 6 czerwca, a 12 czerwca trafiła przed Stały Komitet Rady Ministrów. To już rok od chwili, gdy pierwsza oficjalna wersja nowelizacji ujrzała światło dzienne i cztery lata od rozpoczęcia prac nad nowelizacją. To dziesiątki raportów, analiz i opinii oraz setki stanowisk konsultacyjnych i apeli dotyczących nowych przepisów.

KSC to jedna z tych ustaw, w których czynnik społeczny był bardzo aktywny. No więc gdzie jesteśmy i dokąd zmierzamy z polską implementacją dyrektywy NIS2?

Poważne zarzuty wokół nowelizacji KSC

Marcin Serafin, partner w kancelarii Rymarz Zdort Maruta / fot. materiały prasowe

Najnowsza wersja to głównie powtórzenie poprzednich przepisów z nieznacznymi zmianami. Gdyby ktoś zaczął wdrażać NIS2 na podstawie pierwszej wersji projektu z kwietnia 2024 r., już dawno osią-gnąłby pełną zgodność. To, co się zmienia, to detale. Kością niezgody pozostaje kilka zagadnień, które wyraźnie różnicują autorów, pozostałe ministerstwa oraz ekspertów. To tutaj padają poważne zarzuty: nadregulacja, konflikty z prawem Unii Europejskiej, naruszenie Konstytucji i praw podstawowych. Dyskusja trwa od lat, a stawka jest wysoka: z jednej strony Polsce grożą kary za opóźnienia, z drugiej – zakres proponowanych regulacji wykracza daleko poza wymogi NIS2. Do dziś nie udało się znaleźć kompromisu między koniecznością poprawy cyberbezpieczeństwa, a ochroną wolności gospodarczej i przewidywalności regulacyjnej.

Nadregulacja vs. deregulacja

Dyskusja wokół nowelizacji KSC trwa od lat, lecz to, co budzi obecnie największy niepokój, to ignorowanie przez MC szczegółowych, merytorycznych uwag wyrażanych zarówno w oficjalnych konsulta-cjach, jak i w publicznych analizach – m.in. w raporcie EY „Regulacje NIS2 i 5G Toolbox w Polsce. Analiza wdrożenia i porównanie z państwami UE” oraz „100 przykładów nadregulacji” opracowanych przez zespół Sprawdzamy.com. Co istotne, te głosy nie są jedynie opiniami branży, ale wynikają także z krytycznych analiz innych ministerstw. Zarówno Ministerstwo Rozwoju i Technologii, jak i Ministerstwo Spraw Zagranicznych czy Finansów niejednokrotnie zwracały uwagę na nieproporcjonalność planowanych rozwiązań oraz ryzyka, jakie niesie nadmierna regulacja dla polskiej gospodarki i pozycji międzynarodowej Polski.

Ewenement na skalę Unii Europejskiej

Dostępne raporty , a także analizy branżowe, nie pozostawiają wątpliwości: Polska zmierza własną drogą, proponując rozwiązania znacznie dalej idące niż inne państwa UE. Najczęściej krytykowane punkty nowelizacji to:

Szerokie uprawnienia organu nadzorczego: możliwość wstrzymywania lub cofania koncesji, wstrzymania działalności firmy, a nawet zakazu pełnienia funkcji zarządczych przez osoby zarządzające – narzędzia znacznie wykraczające poza standard NIS2.
Mechanizm dostawców wysokiego ryzyka (DWR): pozwala wykluczyć wybranego producenta sprzętu lub oprogramowania z rynku bez pełnej gwarancji przejrzystej procedury i prawa do skutecznej obrony. Branża ostrzega, że rozwiązanie to narusza podstawowe prawa przedsiębiorców, prawo własności i swobodę działalności gospodarczej, a koszty wymiany infrastruktury mogą sięgnąć miliardów złotych.
Wysokie, uproszczone sankcje: wprowadzenie kar finansowych do 100 mln zł za naruszenia przepisów, z możliwością ich nakładania w trybie uproszczonym, często bez realnej możliwości odwo-łania się.

Eksperci zarzucają MC również brak rzetelnej oceny skutków regulacji (OSR) i nieuwzględnianie głosów partnerów społecznych czy innych resortów. Wielokrotnie wskazywano, że dodatkowe wymogi mogą negatywnie wpłynąć na konkurencyjność polskich firm, a nawet odstraszyć zagranicznych inwestorów.

Eksperci są zgodni – potrzebna jest rzetelna analiza kosztów

Brak Oceny Skutków Regulacji (OSR) to jedna z największych słabości procesu legislacyjnego. Wbrew dobrym praktykom, przy projekcie tak istotnym – który wpływa na cały ekosystem cyfrowy i setki tysięcy przedsiębiorstw – nie przedstawiono szczegółowego rachunku kosztów wdrożenia. To tym bardziej rażące, że zarówno eksperci EY, jak i autorzy raportu Sprawdzamy.com jednoznacznie wskazują na ryzyko miliardowych kosztów dla sektora telekomunikacyjnego, przedsiębiorców, a pośrednio także konsumentów. Dość tylko powiedzieć, że OSR cały czas mówi o konieczności skierowania do kontroli przestrzegania nowych przepisów 1395 etatów pracowników administracji.

Dlaczego przyspieszenie prac jest jednak konieczne?

Mimo fali krytyki, jest również druga strona medalu. Polska od dawna nie wdrożyła NIS2, za co grożą jej już formalne postępowania Komisji Europejskiej oraz ryzyko dotkliwych kar finansowych. Luka w regulacjach może prowadzić do realnych zagrożeń – bez nowelizacji setki firm z kluczowych sektorów (np. energetyka, zdrowie, telekomunikacja, administracja) pozostają poza systemem nadzoru i wymagań bezpieczeństwa. Opóźnienia powodują niepewność prawną i paraliż inwestycji, a w razie poważnego cyberincydentu pojawi się pytanie, czy można było mu zapobiec, szybciej wdrażając NIS2. Do tego dochodzi aspekt geopolityczny – nasilenie cyberataków na infrastrukturę w Europie i wzrost zagrożenia ze strony wschodnich sąsiadów. Wojska Obsługi Cyberprzestrzeni i wspierające je służby dzielnie bronią naszych granic, ale aby domknąć obronę, sektor prywatny musi dołączyć do systemu. A bez przepisów tylko nieliczni odpowiednio się zabezpieczą.

Potrzebna jest rozwaga i kompromis

Trwające od lat prace nad KSC doprowadziły do postulatu rozdzielenia nowelizacji na dwie ścieżki: szybkie wdrożenie minimum NIS2 (nowe obowiązki dla firm, procedury zgłaszania incydentów, audy-ty), natomiast najbardziej kontrowersyjne przepisy – DWR czy model strategicznej sieci bezpieczeństwa – procedować osobno, po szerokich konsultacjach. Część środowiska sugeruje też, by do spornych mechanizmów wprowadzić tzw. „bezpieczniki” – kolegialność decyzji, możliwość naprawy, okresowe przeglądy oraz udział Prezesa UOKiK w procesie decyzyjnym.

Nadregulacja nie podniesie bezpieczeństwa w cyberprzestrzeni

Nowelizacja KSC stała się papierkiem lakmusowym relacji państwa z biznesem i podejścia do prawa UE. Wydaje się, że jedyną racjonalną drogą jest szybkie wdrożenie minimum dyrektywy NIS2, przy równoczesnym otwarciu na konsultacje w najbardziej kontrowersyjnych obszarach. Nadregulacja nie podniesie bezpieczeństwa – wręcz przeciwnie, może osłabić konkurencyjność i zaufanie do polskiego rynku.

Warto pamiętać, że prawdziwe cyberbezpieczeństwo buduje się w dialogu – nie tylko przez mnożenie przepisów, ale przede wszystkim przez ich proporcjonalność, otwartość i szacunek do gospodarczej rzeczywistości. Po czterech latach bezskutecznego forsowania rozwiązań nadmiarowych może nadszedł czas na mniejsze, ale skuteczne kroki.

Źródło: Materiał partnera

Tematy: Unia Europejska bezpieczeństwo deregulacja KSC

Newsletter

Drukuj

Skopiuj link

Zgłoś błąd na stronie

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:

Jest nieaktualna

Jest niedokładna

Nie dotyczy informacji, których szukam

Inny powód

Reklama